كشفت تقارير أمنية جديدة عن حملة برمجيات خبيثة متطورة تستغل إعلانات “كابتشا” (CAPTCHA) المزيفة لخداع المستخدمين ونشر برامج سرقة معلومات خفية. يعكس هذا النشاط، الذي تم رصده في وقت مبكر من عام 2026، أنماطاً سلوكية مشابهة لحملة “ClickFix” التي استهدفت سابقاً أنظمة حجز المطاعم في يوليو 2025، مما يشير إلى تطور في أساليب المهاجمين.
تستهدف هذه الحملة بشكل أساسي خداع المستخدمين عبر مواقع ويب مخترقة تعرض صفحة وهمية للتحقق من “كابتشا”. تتلاعب هذه الصفحة بالضحية لتنسخ أمراً خبيثاً في PowerShell إلى حافظة النظام الخاص بها، ثم تنفيذه يدوياً. تسمح هذه الطريقة، التي تعرف بتقنية “ClickFix”، للمهاجمين بتجاوز أنظمة الأمان الآلية التي تعتمد غالباً على تحليل تنزيلات الملفات بدلاً من تنفيذ الأوامر المباشر.
حملة ClickFix وأساليب الإلهاء الحديثة
تبدأ عملية الهجوم بزيارة المستخدم لموقع ويب مخترق يعرض صفحة “كابتشا” وهمية. يقوم المستخدم بنسخ أمر PowerShell الخبيث إلى حافظة جهازه، ثم يقوم بتنفيذه يدوياً. وهذا الأسلوب يتشابه مع حملة ClickFix السابقة، ولكنه يظهر تطوراً في استغلال عناصر تفاعلية واضحة للمستخدم.
بعد تنفيذ الأمر، يبدأ البرنامج الخبيث بتحميل ملف من البنية التحتية للمهاجم، وتحديداً من عنوان IP 91.92.240.219. يتأكد البرنامج من قراءة حافظة الجهاز عبر استدعاءات واجهة برمجة التطبيقات (API) قبل المتابعة، مما يضمن أن المستخدم قام بالخطوة المطلوبة.
بمجرد التحقق، يبدأ النص البرمجي الخبيث عملية إصابة متعددة المراحل مصممة لسرقة المعلومات الحساسة. تستهدف البرمجية مجموعة واسعة من التطبيقات، بما في ذلك أكثر من خمسة وعشرين متصفح ويب، ومحافظ العملات المشفرة مثل MetaMask، وإعدادات الشبكات الافتراضية الخاصة (VPN) للمؤسسات.
لاحظ محللون في شركة Cyber Proof أن الحملة تتحقق من البيئات الافتراضية وأدوات الأمان النشطة قبل البدء في استخراج البيانات. يمكن أن يكون التأثير شديداً، حيث يمنح المهاجمين وصولاً إلى بيانات الاعتماد الهامة والأصول المالية، مما يسمح لهم بتحقيق مكاسب مالية أو التسلل بشكل أعمق إلى شبكات الشركات.
حقن العمليات والتثبيت
تستخدم البرمجية الخبيثة تقنيات حقن عمليات متقدمة للحفاظ على تواجدها المتخفي على الأجهزة المصابة. بعد التنفيذ الأولي لـ PowerShell، تقوم البرمجية بتنزيل ملف shellcode مستقل عن الموضع (position-independent shellcode) يسمى cptch.bin من البنية التحتية للمهاجم.
لاحظ المحللون أيضاً خطأ في الأمن التشغيلي حيث استخدم المهاجمون المتغير $finalPayload، والذي تم اكتشافه بواسطة Microsoft Defender. يتم توليد الحمولة باستخدام إطار عمل Donut، مما يسمح بتنفيذها مباشرة في الذاكرة، مما يزيد من صعوبة اكتشافها.
يقوم الـ shellcode بتخصيص ذاكرة ضمن عمليات شرعية مثل svchost.exe باستخدام واجهات برمجة التطبيقات القياسية لنظام Windows مثل VirtualAlloc لإخفاء نشاطه الخبيث. هذا التخفي يجعل من الصعب على أدوات الأمان التقليدية رصد الحمولة الضارة.
ولضمان استمرار الإصابة حتى بعد إعادة تشغيل النظام، يقوم المهاجمون بتعديل مفتاح التسجيل RunMRU. هذا التعديل يجبر الجهاز على إعادة تنفيذ أمر PowerShell الخبيث عند بدء التشغيل، مما يعيد تنشيط عملية تنزيل الحمولة.
تضمن آلية التثبيت هذه وصولاً طويل الأمد للبرمجية الخبيثة. بالإضافة إلى ذلك، يقوم المهاجمون بتغيير أسماء ملفات الحمولة بشكل دوري، مثل cptchbuild.bin، لتجاوز آليات الحظر المعتمدة على التجزئة (hash-based blocking mechanisms).
يجب على المؤسسات توعية المستخدمين بالمخاطر المرتبطة بتشغيل الأوامر من صفحات الويب. ويتعين على فرق الأمن مراقبة أي تنفيذ غير عادي لأوامر PowerShell وأي تعديلات محددة في التسجيل. يمكن أن يساعد تنفيذ قواعد الكشف عن نقاط النهاية التي ترصد قراءة بيانات الحافظة بواسطة عمليات المتصفح في تحديد هذه الهجمات في مراحلها المبكرة.